XXXX网络统一身份认证计费管理系统建设方案(综合).doc

XXXX学院网络统一身份认证计费管理系统建设方案 2016年03月 目录 一． 计费系统设计规划 3 二． 方案建设目标 3 三． 总体方案 4 1. 方案设计 4 A. 方案（串连网关方式） 4 B. 方案（旁路方式+BRAS，BRAS产品） 6 四． 认证计费管理系统与统一用户管理系统的融合 12 4.1统一用户管理系统的融合 12 4.2一卡通系统的融合 13 4.3用户门户系统的融合 13 五． 认证计费管理系统功能介绍 14 六． 用户案例 18 6.1清华大学案例介绍 18 6.2成功案例-部分高校 23 6.3系统稳定运行用户证明 23 七.实施方案 31 7.1实施前准备工作 31 7.2认证计费系统安装 31 7.3实施割接前测试工作 31 7.4实施中割接、割接后测试工作 32  计费系统设计规划 XXXX技术学院整体用户规模设计容量为10000用户，同时在线用户规模为5000人，具有多个出口线路；网络特点呈现高带宽，高用户，多种接入方式使用人群，并且在未来还会以多种网络架构存在（有线，无线）。因此安全认证管理计费系统的设计要充分考虑系统性能满足出口带宽容量，同时也必须能满足复杂的接入模式，多种灵活的控制计费策略。 在充分满足IPv4用户的认证计费需求的前提下，设计要考虑对实现IPv6+IPv4双栈认证计费及日志采集等功能需求，同时还需要满足无线和有线认证的融合统一认证管理模式；目前学校已经使用一卡通系统，安全认证计费管理系统必须和一卡通系统实现对接，能支持未来的数字化校园，能够融合到统一身份认证平台。 有线网和无线网是实现账户统一，避免一个用户需要多账户登录有线网和无线网的情况，并可通过上网账户认证实现与校园门户系统、校园一卡通系统的平滑对接，实现用户账号的同步关联。 方案建设目标 针对目前学校对于用户认证计费系统的需求，通过安全认证网络管理计费系统，搭建一套包括用户接入、认证、计费及用户管理的综合平台，为校园网提供功能完善、可靠和高性能适合的宽带接入管理计费解决方案。 实现全网用户统一身份认证和精准计费； 解决现有系统的功能不足和改善用户端体验； 实现全网统一管理，整体数据分析； 现有网络设备升级，提升整体网络速度； 实现一个用户账号可以全部认证，同时和校园一卡通，信息门户的对接，实现用户账号的同步。 实现用户无线、有线一体化,全网统一身份认证计费； 总体方案 方案设计 方案（串连网关方式） 系统部署说明：（网关实现精准流量计费和灵活控制） 将认证计费网关采用多链路/万兆链路串行在核心设备与路由器之间，采用透明桥方式，此种方案具有以下几种特点： 1.网关热备，可以做一台或者多台网关热备，其中任何一条链路出现故障或者其中一台网关故障，用户会自动切换到另外一台网关中，无需用户从新认证。 2.针对用户进行实时流量采集，具有实时性，用户费用不会出现欠费（负数）状态，到零自动切断用户上网。 3.针对每个用户可以进行动态带宽限制。 4.实现基于流量的多种灵活的计费策略，流量套餐，包月限制流量等等。 5.采用多链路方式增加整体网络吞吐量和链路的冗余可靠性。 6.教学区采用Portal认证模式，实现用户的方便认证，适应多种智能终端。 以网关模式部署的深澜认证计费系统有着众多高校的实际应用案例，例如：清华大学、北京理工大学、北京师范大学、北大医学院、北京航空航天大学、中央民族大学、西安交大、中央民族大学、北京师范大学、中北大学（朔州校区）等等。 （清华大学万兆网关实际测试） 方案（旁路方式+BRAS，BRAS产品） 无感知认证（MAC认证模式） 1.1 为用户分配固定的IP地址，用户在配置地址和网关后直接获得对应的访问权限；如需对用户访问权限进行控制，则可通过在认证计费系统对BRSA 或是无线控制器下发DAA模板实现ACL访问控制。 1.2 通过DHCP为用户提供地址的动态分配功能。用户终端接入后，即可通过DHCP获得IPv4地址，对应的网关和DNS服务器等信息。在采用DHCP方式时，用户可以动态获得某个地址池中的地址，或者按照要求，基于该用户的MAC地址，为其每次都分配同一个IP地址，便于其在网络内提供相应的服务。 1.3 用户的IPv6地址建议通过ND/RA的方式获得，及IPv6无状态地址分配方案，该方式对客户端的兼容性较好，高校普遍采用了这种方式。 1.4 对于无需认证的用户，如果是通过DHCP方式获得IP地址，BRAS多业务路由器以及后台的认证计费系统同样会对用户的信息提供记录，便于今后的查询。采用BRAS多业务路由器做为二层